Veel bedrijven hebben de irritante gewoonte om je mails te sturen en onderaan te zetten dat je geen antwoord per mail mag sturen. Daarvoor moet je bellen of een vaag formulier op de site gebruiken. Om nu te voorkomen dat mensen toch gaan mailen, gebruikt men dan een ongeldig e-mailadres als afzender. Een populaire is het gebruik van “donotreply.com”. Ietwat pijnlijk alleen is dat dit domein al jaren gewoon bestaat, en dat de beheerder in zijn gebruiksvoorwaarden heeft staan dat hij alle ontvangen mails op zijn site publiceert.

De site ontvangt wekelijks miljoenen bounces en foutmeldingen, maar ook reacties van consumenten en zakelijke klanten op mails die met een donotreply.com-adres zijn verzonden. En die reacties variëren van scheldpartijen tot gedetailleerde financiële rapporten of lijsten met wachtwoorden of pincodes.

Security.NL vertelt:

Als [eigenaar Chet Faliszek] de bedrijven inlicht reageren die vaak vol verbazing en hij wordt regelmatig met rechtszaken bedreigd door bedrijven die niet snappen waarom hij de e-mail inclusief vertrouwelijke bijlagen ontvangt. “Mensen schreeuwen soms tegen me dat de e-mails privé zijn en ik ze niet moet lezen. Ze raken helemaal in paniek, met name als je met niet technische mensen binnen die bedrijven praat,” zo laat Faliszek weten, die zijn avonturen in dit blog bijhoudt.

Die rechtszaken zullen weinig kans maken. Als de afzender zelf zo slordig is met het invullen van het e-mailadres, dan aanvaardt hij de kans dat mensen toch gaan reageren. Je kunt dan moeilijk die ontvanger aanspreken voor de schade die je daardoor lijdt.

Faliszek is wel zo netjes om persoonsgegevens te anonimiseren voordat hij de mails publiceert.

Arnoud

Twee lezers hadden ruzie over de regels rond draadloos internetten:

Ik had altijd begrepen dat de insteek over draadloze netwerken is, “mag je alleen gebruiken als het open staat en de SSID duidelijk aangeeft dat je binnen mag”. Maar mijn discussiepartner zegt nu juist dat de regel is, “Als er geen ‘foei ten strengste verboden’ in de SSID staat dan mag het”. Wat is het nu?

Je gebruikt andermans netwerk illegaal als dat opzettelijk en wederrechtelijk gebeurt (art. 138a lid 1 Strafrecht). Ook als daarbij geen beveiliging wordt omzeild of misleid.

De nuance daarbij is dat je wel moet weten (of had moeten weten) dat je niet op dat netwerk mocht zijn. Bij een netwerk met “boe ga weg” als netwerknaam lijkt me dat vrij duidelijk. Een netwerk met “Open WIFI, kom binnen” mag je gewoon gebruiken. De vraag is dan wat je mag bij een netwerk met “linksys” of “default” als SSID. Kun je daar iets uit afleiden over het al of niet binnen mogen komen?

Een ander punt is dat ‘opzettelijk’. Hoe actief moet dat zijn? Veel laptops en PDA’s zijn ingesteld om zich automatisch op alle netwerken in de buurt aan te melden. Meld je je dan opzettelijk aan op zo’n netwerk? Ik zou denken van niet, maar een uitgemaakte zaak is het niet.

Dat maakt het heel lastig voor de politie om een zaak rond te krijgen. Zij moeten bewijzen dat jij had moeten weten dat je niet op dat netwerk had mogen zitten. En natuurlijk moeten ze eerst zien dat jij op andermans wifi zit. Dat zal niet meevallen. Er zijn een paar arrestaties geweest, maar die hebben nooit tot een veroordeling geleid.

Staat jullie netwerk open of dicht?

Arnoud

De beveiliging van Corsairs Padlock USB-stick blijkt op eenvoudige wijze te kraken: het solderen van een weerstand tegen een van de chips binnenin de stick blijkt genoeg om de pincodebeveiliging te omzeilen. Dat meldde -wie anders- Tweakers gisteren. Nu is dit soort hardware-hacken volstrekt legaal. Deze keer dan ook een iets andere vraag: als je als koper van zo’n stick bent afgegaan op de belofte van beveiliging, heb je dan nu een juridische claim richting de fabrikant?

Wie iets koopt, heeft zekere verwachtingen van het product. Daar moet het product dan ook aan voldoen (art. 7:17 BW). Een belangrijke vraag daarbij is wat voor mededelingen de verkoper heeft gedaan: je mag er als consument in principe vanuit gaan dat die kloppen en dat het product dus kan wat de verkoper belooft.

De Corsair Padlock wordt aangeprezen door de fabrikant als:

Flash Padlock is the best way to secure your data while on the go. This prevents any unauthorized access or “Brute Force” attack to the data on Flash Padlock. Users can program in a PIN, much like they do for an ATM machine, to lock/unlock their data.

Dat klinkt veelbelovend: het systeem biedt de beste manier om je data te beveiligen en voorkomt elke ongeautoriseerde toegang tot de data. Maar noch de whitepaper noch de app note gaan hier dieper op in. Veel onderzoek kan ik dus niet doen. Ik kan als koper dan ook weinig anders dan het bedrijf op haar blauwe ogen geloven dat dit wel de beste manier zal zijn.

Als het product vervolgens die belofte niet nakomt, dan schendt de verkoper de overeenkomst en op grond daarvan mag ik deze ontbinden zodat ik mijn geld terugkrijg. Normaal moet ik de verkoper eerst de kans geven het product te vervangen of te repareren, maar dat heeft hier weinig zin natuurlijk.

Daar staat tegenover dat deze stick slechts 15 euro kost. Hoeveel beveiliging mag je daarvoor verwachten? Bij een fietsslot van 15 euro moet ik ook niet gek staan kijken als mijn fiets op zeker moment toch weg is. Ik mag niet verwachten dat mijn fiets met zo’n fietsslot tegen elke fietsendief bestand is, ik moet weten dat dat soort lui met accu-aangedreven slijptollen rondloopt en daarmee alles openkrijgt.

Maar gaat dat verhaal voor pinbeveiligingen op USB-sticks ook op? Lastige vraag. Wat weet de gemiddelde koper van USB-sticks over de mogelijkheden en onmogelijkheden van beveiliging?

Wat vinden jullie? Behoor ik mijn geld terug te krijgen nu deze stick zo slecht beveiligd blijkt, of had ik moeten weten dat je voor 15 euro weinig veiligheid koopt?

Arnoud

Nederland behoort tot de vijf landen die de meeste illegale content via het internet verspreiden, meldt Security.NL. Dit blijkt uit een aanstaand rapport van X-Force. De term “illegale content” moet breed worden uitgelegd: hiermee bedoelt het rapport niet alleen aanbod van software, films of muziek dat inbreuk maakt op het auteursrecht, maar ook websites die worden gebruikt voor computercriminaliteit, illegale drugs, malware of die gewelddadig en extremistisch van aard zijn. Tsja. Om dat nou allemaal over één kam te scheren?

Ditzelfde definitieprobleem zie je wel vaker bij cybercrime: de kreet “misdrijven die met een computer gepleegd worden” is zo breed dat volgens sommige definities ook iemand de hersens inslaan met een laptop onder computercriminaliteit valt. Zijn sites van een coffeeshop sites die gebruikt worden voor illegale drugs?

Arnoud

Het internet gaat aan haar eigen succes ten onder. Hoewel er steeds meer kabels gelegd worden en steeds grotere datacentra, blijft het netwerk kwetsbaar. Dat komt door een fundamentele beperking in de opzet van internet: elk stukje informatie moet van één bron komen. En als die verstopt of onbereikbaar wordt, gaat het fout.

Caches en mirrors (of hulpnetwerken zoals Akamai) zijn een gedeeltelijke oplossing. Meer fundamenteel is een nieuwe opzet van het internet: zet de data centraal, niet de computers waar het vandaan komt. Iedereen doet mee aan de verspreiding, zodat er altijd genoeg bronnen zijn om de data te pakken te krijgen die je wilt. Technisch haalbaar, maar alle wetten over aansprakelijkheid, auteursrecht en aanverwante zaken kunnen het raam uit.

Het internet zou gebouwd zijn om gedurende een nucleaire oorlog te blijven werken. Dat is een mythe. Het internet is allerminst robuust. Deze kaart van de Guardian (via ZBDigitaal) laat zien hoe weinig verbindingen er eigenlijk zijn tussen de continenten:

En het gaat ook vaak genoeg mis. Eén kabelbreuk blijkt al genoeg om het halve Midden-Oosten zonder internet te laten zitten (complottheorieën te over trouwens). In december 2006 zorgde een zeebeving voor een grote internetstoring in Zuid-Oost Azië. Vietnam zat in juni 2007 zonder internet door diefstal van kilometers glasvezelkabel.

Raar eigenlijk, want op zich is er netwerkcapaciteit genoeg in die landen, en de meeste pagina’s, filmpjes en andere content die de mensen daar wilden zien was ook ongetwijfeld allang aanwezig op de harde schijven op de miljoenen computers aldaar. Maar toch moest iedereen per se naar de originele server om zijn eigen kopie van die pagina’s of filmpjes op te vragen. Onzin eigenlijk, maar ja, zo is internet nu eenmaal gebouwd.

Bittorrent is een voorbeeld van hoe het ook anders kan. Net als bij elk file sharing netwerk worden bestanden van computer naar computer verspreid. Het unieke aan Bittorrent is dat er niet één persoon is die het hele bestand verstuurt. Elk bestand wordt in delen opgehakt, en elk deel wordt afzonderlijk verstuurd. Zodra iemand een deel heeft, deelt hij dat deel ook weer met iedereen die op zoek is naar dat bestand.

Deze techniek is een eenvoudige versie van wat in de wetenschappelijke wereld bekend staat als content-centric networking, content disseminatie netwerken of swarming.

Deze video-uitleg van Van Jacobson legt heel duidelijk uit waar het over gaat. Iedere computer die een stukje data langs ziet komen, bewaart daar een kopietje van. Als deze vervolgens een verzoek langs ziet komen voor dat stukje data, stuurt hij zijn kopietje in plaats van het verzoek door te geven aan de mogelijk heel ver weg staande oorspronkelijke server.

Deze netwerktechnologie heeft vérstrekkende gevolgen, ook voor het internetrecht. Als er geen centrale bron meer is die de content “op internet zet”, wie moet je dan aanspreken als de publicatie onrechtmatig is? En zelfs als je de eerste plaatser van de content vindt, hoe kan deze dan de publicatie stopzetten? Ben ik aansprakelijk als mijn computer iets bewaart en doorgeeft dat in Koeweit illegaal is?

Of wat dacht je van de vraag hoe je een stuk content vindt? Als er geen “officiële” site meer is, en content overal vandaan kan komen, kan ik het verschil niet meer zien tussen een geautoriseerde en een ongeautoriseerde publicatie.

De oplossing zal op een of andere manier uitgebreid gebruik moeten maken van encryptie en digitale handtekeningen. Vervalsing van data is immers triviaal, als iedereen antwoord mag sturen op elk verzoek. Met een digitale handtekening kan de ontvanger dan nagaan of hij echt de voorpagina van NU.nl heeft gekregen of een neppagina. En voor veel data (zoals e-mail of chatgesprekken) is het niet de bedoeling dat iedereen meeleest, dus daar is encryptie cruciaal.

Via de digitale handtekening op content zou je dus de plaatser kunnen achterhalen. Maar dat is een lastige: hoe weet je welke digitale handtekening gezet is door welke persoon? Wie is de echte Disney?

En om dan de content te kunnen verwijderen, is nog heel wat meer nodig. Youtube heeft nu al problemen genoeg om een film weg te halen als ze daar een bevel toe krijgen.

Kortom, genoeg stof om over na te denken. Onlangs kocht ik het boek The Big Switch van Nicholas Carr, een aanrader over dit onderwerp!

Arnoud

Het persbureau Novum Nieuws is veroordeeld voor computervredebreuk. Novum, opgericht als concurrent voor ANP, bleek regelmatig ingebroken te hebben op de servers van het ANP om zo toegang tot ANP-nieuws te krijgen. Daarbij maakte het bedrijf gebruik van inlogcodes van McPro, RTV Utrecht en Sky Radio. Het gebruik van andermans inlogcode (gebruikersnaam en wachtwoord) is een vorm van computervredebreuk. Bij mijn weten is dit de eerste keer dat een rechtspersoon (bedrijf) veroordeeld wordt voor dit misdrijf.

Er was nog wat discussie over welke vorm van computervredebreuk het nu was, maar de rechtbank maakte daar korte metten mee. Het OM had ten laste gelegd dat een “technische ingreep” (een computerkraak of exploit) was gebruikt, maar het bedrijf verweerde zich door te zeggen dat men gewoon een bestaand wachtwoord had gebruikt. Dat vond de rechter juist, maar ook gebruik van andermans wachtwoord is een strafbaar feit. En terecht.

De rechtbank legde het bedrijf een geldboete op van € 4.000 (waarvan € 2.000 voorwaardelijk). Dit is lager dan de eis van 11.250 euro. Het OM had onvoldoende onderbouwd hoe zij tot haar eis kwam. Bovendien nam de rechtbank het ANP kwalijk dat zij kennelijk te weinig had gedaan om zich te beschermen tegen dit soort ongeautoriseerd gebruik door derden. Er zijn tenslotte genoeg eenvoudige technische maatregelen om dit te voorkomen, zoals het beperken van het aantal IP-adressen dat gebruik mag maken van de dienst.

In haar motivatie is de rechtbank hard:

Novum heeft zeer kwalijk gehandeld door zich ten behoeve van haar nieuwsgaring via aan derden verleende inlogcodes de toegang te verschaffen tot de Artos nieuwsserver van het ANP en daarvan ook veelvuldig gebruik te maken. Wetende dat aan haar als opkomend concurrent van het ANP geen toegang tot die server zou worden verleend, heeft Novum die toegang gezocht en gevonden via een bevriende relatie, de eigenaar/directeur van de zaak McPro. Na afloop van het contract tussen McPro en het ANP is Novum gebruik gaan maken van de inlogcodes die aan RTV Utrecht en Sky Radio waren verleend (periode [E]). Aldus van de informatie van het ANP profiterend heeft Novum haar eigen positie in haar concurrentie met het ANP willen versterken.

De oprichter/voormalig commercieel directeur en de voormalig hoofdredacteur werden veroordeeld tot een boete van € 2000, waarvan € 1000 voorwaardelijk met een proeftijd van 2 jaar. Ook deze eis is lager dan de geëiste voorwaardelijke taakstraf van 80 uur met een proeftijd van 2 jaar. Hoewel zij niet persoonlijk de ‘hack’ pleegden, gebeurde dit wel onder hun feitelijke leiding en daarom werden ook zij vervolgd.

Een eerder kort geding van ANP tegen Novum werd in juli 2005 door het Gerechtshof Amsterdam afgewezen omdat het bewijs niet duidelijk genoeg was. ANP moest, aldus het Hof, maar een bodemprocedure beginnen. ANP heeft er echter voor gekozen aangifte te doen van computervredebreuk.

Arnoud

Politieagenten in Nederland maken massaal gebruik (misbruik) van de politie informatiesystemen voor privédoeleinden, schrijft CorCom Security Analysing. Dit zou een “geaccepteerd verschijnsel” of zelfs een “beroepsvoordeel” zijn voor agenten:

Politieagenten zien het gebruik van de informatie als een beroepsvoordeeltje. Het mag eigenlijk niet, maar elke politieambtenaar doet het wel eens. Het is een grijs gebied. Het gebruik van de politiecomputer om kentekens na te trekken voor privé doeleinden is zelfs min of meer een vast praktijk bijvoorbeeld geworden bij het kopen van een tweedehands auto of om te checken of er criminelen in een bepaalde wijk wonen. Officieel mag dat niet, maar het wordt beschouwd als een onschuldig vergrijp zolang het voor eigen gebruik is. Er wordt immers niemand door benadeeld zegt men. Maar deze politie uitspraken kloppen niet. Regelmatig worden medewerkers van de politie met onmiddellijke ingang ontslagen, omdat deze zich schuldiggemaakt hebben aan contact met criminelen en het lekken van politie informatie. Dit geld zowel voor de recherche als de geuniformde dienst.

Lees verder in Agenten misbruiken massaal politie informatiesystemen voor privé doeleinden bij CorCom Security Analysing.

Arnoud

De grote beveiligingsgoeroe Bruce Schneier heeft een volledig open draadloosnetwerk thuis, zo schreef hij in een recente column bij Wired. Iets dat veel van zijn bezoekers verbaast: weet hij dan niet dat er allerlei onfrisse types zijn die daar misbruik van maken, waarna de politie hem zal komen arresteren omdat alles vanaf zijn IP-adres gedaan lijkt te zijn?

While this is technically true, I don’t think it’s much of a risk. I can count five open wireless networks in coffee shops within a mile of my house, and any potential spammer is far more likely to sit in a warm room with a cup of coffee and a scone than in a cold car outside my house. And yes, if someone did commit a crime using my network the police might visit, but what better defense is there than the fact that I have an open wireless network? If I enabled wireless security on my network and someone hacked it, I would have a far harder time proving my innocence.

Dat laatste is intrigerend: als Schneier zijn netwerk goed beveiligt, is het dus onmogelijk dat een ander er op ingebroken is. Dus alles wat dan vanaf zijn IP-adres is gebeurd, moet hij zelf gedaan hebben. Daar zit wat in.

Je zou dat kunnen omkeren: als je je netwerk dus openzet voor iedereen, valt nooit te bewijzen dat jij iets gedaan hebt. Je kunt dan altijd die langsrijdende hacker de schuld geven. Maar dat is ook weer iets te makkelijk.

Bij een strafzaak moet de rechter ‘overtuigd’ zijn van de schuld van de verdachte (artikel 338 Strafvordering). Heeft de verdachte een redelijk klinkende alternatieve verklaring voor het gebeurde, dan kan hij worden vrijgesproken. Maar een enkele theoretische mogelijkheid is meestal niet genoeg. Pas als het bewijs een redelijke twijfel oproept, kan vrijspraak volgen.

In dit geval zal het bewijs vrijwel altijd een verklaring van een getuige-deskundige zijn. Een getuigenverklaring is “wettig bewijs” (art. 339 Strafvordering). Logfiles en andere aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om meteen als bewijs te dienen. De getuige-deskundige moet dan uitleggen wat voor elektronische aanwijzingen hij heeft gevonden op de PC en het thuisnetwerk van de verdachte, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer van buitenaf.

Uit het hebben van een onbeveiligd draadloos netwerk volgt niet dat elke activiteit door een wardrivende hacker gepleegd is. Er zullen op zijn minst concrete aanwijzingen in bijvoorbeeld de logfiles moeten zijn dat iemand zich heeft aangemeld met een MAC-adres dat nooit eerder is gebruikt.

In een arrest van de Hoge Raad afgelopen juni over bedreiging per e-mail voerde de verdachte aan dat hij de mails niet gestuurd had:

dat uit de stukken niet kan worden afgeleid dat de verdachte de berichten heeft verzonden, dat de mogelijkheid bestaat dat de berichten vanuit een andere computer zijn verzonden en dat uit de bewijsmiddelen niet duidelijk is geworden of het [gebruikte] IP-adres een statisch of dynamisch IP-adres is, hetgeen zou meebrengen dat meer mensen van dit IP-adres gebruik hebben kunnen maken, terwijl verder de verzending van e-mail vanaf een bepaald hotmail-adres niet zonder impliceert dat de houder van dat adres die e-mail ook verzonden heeft.

Het IP-adres bleek echter al bijna twee jaar uitsluitend bij de verdachte in gebruik. Dit is bij de provider eenvoudig na te gaan.

Dat de andere berichten verzonden zouden kunnen zijn van een andere computer - hetgeen inderdaad bij een hotmail-adres mogelijk is - is een mogelijkheid die het Hof als hoogst onwaarschijnlijk buiten beschouwing heeft kunnen laten, mede in aanmerking genomen wat het Hof over het IP-adres, zoals hiervoor vermeld en de verhouding tussen verdachte en [het slachtoffer] heeft vastgesteld. Dan zou een derde zich onbevoegd het wachtwoord en het e-mailadres hebben moeten verschaffen. Daarbij komt nog dat uit bewijsmiddel 9 kan worden afgeleid dat het desbetreffende e-mailadres “[e-mailadres 1]” 168 keer is aangetroffen op de computer van de verdachte.

Oftewel: het IP-adres was twee jaar lang aan u toegekend, niemand anders kon op de tijdstippen vanaf uw PC mails versturen en gezien de inhoud is het zeer aannemelijk dat u ze geschreven heeft. Dus u was het.

Nu is het theoretisch mogelijk dat iemand die PC op afstand gekraakt heeft, en zo vanaf die PC alles kon doen waar hij zin in had. Inclusief dus bedreigende mails sturen naar de collega van de verdachte die de aangifte van bedreiging had gedaan. Ook voor dat geval heb je een getuige-deskundige nodig, die sporenonderzoek gaat doen om te kijken of er b.v. een Trojaans paard of rootkit op de PC aanwezig is.

In dit vonnis gaf de rechtbank mooi weer hoe zulk bewijs wordt toeepast:

Tegen het feit dat [een tweede deskundige] ter terechtzitting in hoger beroep, sprekend over de theoretische mogelijkheid dat hem sporen van hacking zouden zijn ontgaan, heeft opgemerkt dat hacken niet uit te sluiten is, weegt op dat hij voor het feit dat dat zou zijn gebeurd (te weten dat die computers wèl gehackt zouden kunnen zijn geweest) geen enkele aanwijzing heeft gevonden en dat de aangetroffen sporen op de computers dermate in elkaar grijpen en interne consistentie vertonen dat het onwaarschijnlijk is dat de sporen anders dan door normaal gebruik van de computers – en dus niet door manipulatie van buitenaf – op die computers terecht zijn gekomen.

Je kunt dus niet zonder meer zeggen “er kan gehackt zijn, dus ik was het niet”. Wat er precies gebeurd is, moet meespelen bij de inschatting of de verdachte het gedaan heeft. Een geavanceerde computerinbraak bij Defensie vanaf het thuisnetwerk van Jan en Petra van 83 die vorige week voor het eerst “internet hebben gekocht”, zal waarschijnlijk door een langsrijdende hacker gepleegd zijn. Een ruzie op school die vervolgens leidt tot anonieme scheldmails zal echter waarschijnlijk door de ruziemaker gestart zijn.

Arnoud

Een lezer vroeg zich af:

Stel op een bedrijfspc staan bestanden die het privé-eigendom zijn van een medewerker. Nu wil de werkgever op die pc bepaalde werkgerelateerde documenten opvragen, maar hij weet niet precies waar die staan. Vanwege een arbeidsconflict wil de werknemer niet meewerken. Mag de werkgever nu de pc doorzoeken, of moet hij vanwege het risico van privacyschending toch de werknemer dit laten doen?

Ook op het werk heb je privacy. Een werkgever mag niet zomaar monitoren wat mensen doen op de bedrijfspc. Hij moet daar een reglement voor opstellen waarin staat wat er wanneer gemonitord wordt en voor welk doel. En zelfs met een reglement mag niet zomaar alles: er moet altijd een redelijke aanleiding zijn om te gaan monitoren. Een vermoeden van fraude of illegale activiteiten, maar ook disproportioneel veel dataverkeer kan zo’n aanleiding zijn.

Hier ligt het iets lastiger: de werkgever heeft een legitieme reden om op die pc te gaan zoeken, maar kan daarbij (bedoeld of onbedoeld) een blik werpen in privé-bestanden. Hij zou bijvoorbeeld een zoekopdracht kunnen geven voor alle documenten met een bepaalde tekst. Als die ook in een privé-document staat, krijgt hij vervolgens daar de inhoud van te zien. En bij bijvoorbeeld afbeeldingen laat Windows heel behulpzaam een thumbnail zien met de inhoud.

Als je het de werknemer niet kunt laten doen, dan wordt het lastig. Het beste zou zijn om dan een onafhankelijk iemand de doorzoeking te laten doen. Grote bedrijven hebben vaak een speciaal iemand, een vertrouwenspersoon of compliance officer wiens taak het is om toe te zien op de naleving van de ethische regels binnen een bedrijf. Bij een vermoeden van bedrijfsmatige fraude kun je dan als werknemer die persoon inschakelen. Deze zou dan ook in dit geval kunnen helpen.

Natuurlijk is het niet de bedoeling dat mensen privé-bestanden op een bedrijfspc zetten. Maar zolang die bestanden geen schade aanrichten, kan een werkgever daar weinig tegen doen. De grens is soms ook lastig te trekken. Ik doe een cursus voor mijn werk; is de uitwerking van een cursusopgave nu een werkgerelateerd document? En de routebeschrijving om bij die lokatie te komen? En de lijst met goeie restaurantjes in de buurt? En de e-mail naar een vriendin met een uitnodiging om dan samen te gaan eten omdat zij vlakbij de cursuslokatie woont?

Arnoud

Via mijn referer log vond ik deze vraag op een forum over bijstand, onder het kopje Onterecht beschuldigd van agressie!! De vraagsteller had telefonisch geklaagd over een “bitse reactie” van een medewerkster van de Sociale Dienst, en de persoon aan de andere kant had dit verstaan als “die bitch z’n reactie”. Wat aanleiding was om maatregelen tegen de vraagsteller te nemen. Die schrijft:

Ik heb een opname van het gesprek (en ja ik heb uitgezocht dat het legaal is om je eigen gesprekken op te nemen), mag ik dit als bewijs invoeren bij dat gesprek om aan te tonen dat het gaat om een misinterpretatie van het gezegde? Of moet ik een officieel bezwaarschrift indienen?

Inderdaad mag je je eigen telefoongesprekken opnemen. Het is pas strafbaar als je een gesprek opneemt waar je geen deelnemer aan bent. Je hebt dus geen toestemming nodig om je eigen gesprekken op te nemen, en je hoeft het zelfs niet te melden (al is dat wel netjes).

Maar, zoals verderop in de discussie naar voren kwam, je mag niet zomaar gesprekken publiceren zonder toestemming van je partner. Die verwacht dat zo’n telefoongesprek vertrouwelijk is, en publicatie zal dus al snel schending van zijn of haar privacy opleveren.

Of dat hier ook opgaat? Ik denk het niet. De medewerker van de sociale dienst heeft zelf de inhoud van het gesprek doorgegeven om te klagen over het taalgebruiker van de beller. Zij kan er dan moeilijk bezwaar tegen maken als de beller laat horen wat er werkelijk gezegd is.

Arnoud